З точки зору інжекції SQL я повністю розумію необхідність параметризації stringпараметра; це один із найдавніших трюків у книзі. Але коли можна виправдати не параметризувати SqlCommand? Чи вважаються якісь типи даних "безпечними", щоб не параметризувати їх?

Наприклад: я не вважаю себе ніде поблизу фахівця з SQL, але не можу придумати жодних випадків, коли потенційно вразливим для ін'єкції SQL було б прийняти a boolабо an intі просто об'єднати його прямо у запит.

Чи правильне моє припущення, чи це могло б залишити величезну вразливість безпеки в моїй програмі?

Для уточнення це питання позначено тегами c #яка є сильно набраною мовою; коли я кажу "параметр", думаю про щось подібне public int Query(int id) .

Я думаю, що це безпечно ... технічно , але це жахлива звичка потрапляти. Ви справді хочете писати такі запити?

var sqlCommand = new SqlCommand("SELECT * FROM People WHERE IsAlive = " + isAlive + 
" AND FirstName = @firstName");

sqlCommand.Parameters.AddWithValue("firstName", "Rob");

Це також залишає вас вразливими у ситуації, коли тип змінюється з цілого на рядок (Подумайте номер працівника, який, незважаючи на його ім'я, може містити літери).

Отже, ми змінили тип EmployeeNumber з intна string, але забули оновити запити sql. На жаль

При використанні сильно типізованих платформи на комп'ютері управління (наприклад , веб - сервер), ви можете запобігти ін'єкції коду для запитів тільки bool, DateTimeабо int(та інші числові) значення. Викликає занепокоєння питання щодо продуктивності, викликаного змушенням сервера sql повторно компілювати кожен запит та заважати йому отримувати хорошу статистику щодо того, які запити виконуються з якою частотою (що шкодить кеш-керуванню).

Але ця частина "на комп'ютері, яким ви керуєте" є важливою, оскільки в іншому випадку користувач може змінити поведінку, яку використовує система для генерування рядків з цих значень, щоб включити довільний текст.

Я також люблю думати довгостроково. Що станеться, коли сьогоднішня застаріла система з сильно набраним кодом переноситься через автоматичний переклад на динамічну мову new hotness, і ви раптом втрачаєте перевірку типу, але ще не маєте всіх правильних тестових одиниць для динамічного коду ?

Дійсно, немає жодної вагомої причини не використовувати параметри запиту для цих значень. Це правильний шлях для цього. Перейдіть уперед і значення жорсткого коду в рядок sql, коли вони дійсно є константами, але в іншому випадку, чому б не просто використовувати параметр? Це не так, як важко.

Зрештою, я б не назвав це помилкою , сам по собі, але я би назвав це запахом : щось, що не вистачає помилки само по собі, але є чітким свідченням того, що помилки знаходяться поруч, або вони будуть врешті-решт. Хороший код дозволяє уникнути запаху, і будь-який хороший інструмент статичного аналізу позначить це.

Додам, що це, на жаль, не такий аргумент, який ви можете виграти прямо. Це звучить як ситуація, коли бути «правильним» вже недостатньо, а наступати на пальці колег, щоб самостійно вирішити цю проблему, швидше за все, не сприятиме гарній динаміці команди; в кінцевому рахунку це може зашкодити більше, ніж допомагає. Кращим підходом у цьому випадку може бути сприяння використанню інструменту статичного аналізу. Це дало б легітимність та надійність зусиллям, спрямованим на повернення та закріплення існуючого коду.

У деяких випадках можливо здійснити атаку ін'єкцій SQL з непараметризованими (об'єднаними) змінними, відмінними від рядкових значень - див. Цю статтю Джона: http://codeblog.jonskeet.uk/2014/08/08/the-bobbytables -культура / .

Річ у тому, що коли ToStringвикликається, якийсь користувальницький постачальник культури може перетворити нестроковий параметр у його рядкове представлення, що вводить деякий SQL у запит.

Це не безпечно навіть для нестрокових типів. Завжди використовуйте параметри. Період.

Розглянемо наступний приклад коду:

var utcNow = DateTime.UtcNow;
var sqlCommand = new SqlCommand("SELECT * FROM People WHERE created_on <= '" + utcNow + "'");

На перший погляд код виглядає безпечним, але все змінюється, якщо внести деякі зміни в регіональні налаштування Windows та додати ін'єкцію у короткий формат дати:

Тепер отриманий текст команди виглядає приблизно так:

SELECT * FROM People WHERE created_on <= '26.09.2015' OR '1'<>' 21:21:43'

Те ж саме можна зробити для intтипу, як користувач може визначити спеціальний негативний знак, який можна легко змінити в ін'єкцію SQL.

Можна стверджувати, що замість нинішньої культури слід використовувати інваріантну культуру, але я багато разів бачив подібні струнні конкатенації, і це досить легко пропустити при об'єднанні рядків з використанням об'єктів +.

"SELECT * FROM Table1 WHERE Id =" + intVariable.ToString ()

Безпека
Гаразд.
Зловмисники не можуть ввести нічого у вашу введену змінну int.

Виконання
не в порядку

Краще використовувати параметри, тому запит буде складено один раз і кешовано для наступного використання. Наступного разу, навіть при різних значеннях параметрів, запит кешується і його не потрібно компілювати на сервері баз даних.

Стиль кодування
Неправильна практика.

• Параметри легше читаються
• Можливо, це змушує вас звикати до запитів без параметрів, тоді, можливо, ви помилилися один раз і таким чином використовуєте рядове значення, і тоді ви, мабуть, повинні попрощатися зі своїми даними. Погана звичка!

"SELECT * FROM Product WHERE Id =" + TextBox1.Text

Хоча це не ваше питання, але може бути корисним для майбутніх читачів:

Катастрофа безпеки !
Навіть коли Idполе є цілим числом, ваш запит може бути предметом ін'єкції SQL. Припустимо, у вас є запит у вашій програмі "SELECT * FROM Table1 WHERE Id=" + TextBox1.Text. Зловмисник може вставити у текстове поле, 1; DELETE Table1і запит буде:

"SELECT * FROM Table1 WHERE Id=1; DELETE Table1"

Якщо ви не хочете використовувати параметризований запит тут, слід використовувати введені значення:

string.Format("SELECT * FROM Table1 WHERE Id={0}", int.Parse(TextBox1.Text))

Твоє запитання

Моє запитання виникло тому, що колега написав купу запитів, що об'єднують цілі значення, і мені було цікаво, чи марно витрачати свій час, щоб пройти і виправити їх усі.

Я думаю, що зміна цих кодів не є марною витратою часу. Дійсно зміни рекомендується!

якщо ваш колега використовує int-змінні, він не несе загрози безпеці, але я думаю, що зміна цих кодів не є марною витратою часу і рекомендується змінити ці коди. Це робить код більш читабельним, більш зрозумілим та робить виконання швидшим.

Насправді два питання в одному. І питання з назви має дуже мало спільного з занепокоєнням, висловленим ОП у коментарях після цього.

Хоча я усвідомлюю, що для ОП це важливий їх конкретний випадок, для читачів, які приходять з Google, важливо відповісти на більш загальне питання, яке можна висловити як "є конкатенація настільки ж безпечною, як підготовлені заяви, якщо я переконався що кожен буквальний, який я об'єдную, безпечний? ". Отже, я хотів би сконцентруватися саме на цьому останньому. І відповідь така

Однозначно НІ.

Пояснення не таке пряме, як хотілося б більшості читачів, але я постараюся зробити все можливе.

Я певний час розмірковував над цим питанням, в результаті чого стаття (хоча і заснована на середовищі PHP), де я намагався підвести підсумки. Мені прийшло в голову, що питання захисту від ін'єкції SQL часто ухиляється від деяких споріднених, але вужчих тем, таких як скачування рядків, лиття типів тощо. Хоча деякі заходи можна вважати безпечними, якщо їх вживати самостійно, не існує ані системи, ані простого правила, яке слід дотримуватися. Це робить її дуже слизькою землею, приділяючи занадто багато уваги та досвіду розробника.

Питання інжекції SQL не може бути спрощений до якоїсь конкретної проблеми з синтаксисом. Він ширший, ніж звичайний розробник, який раніше думав. Це також методологічне питання. Це не лише "Яке саме форматування ми повинні застосувати", але і " Як це потрібно зробити".

(З цієї точки зору, стаття Джона Скіта, цитована в іншій відповіді, робить скоріше поганою, ніж хорошою, оскільки знову опиняється на певному крайовому випадку, концентруючись на певному синтаксичному питанні та не в змозі вирішити проблему взагалі.)

Коли ви намагаєтеся вирішити питання захисту не в цілому, а як набір різних проблем із синтаксисом, ви стикаєтеся з безліччю проблем.

• список можливих варіантів форматування дійсно величезний. Значить, можна легко проігнорувати деякі. Або переплутати їх (наприклад, використовуючи рядок уникнення рядка для ідентифікатора ).
• Об’єднання означає, що всі заходи захисту повинні виконувати програміст, а не програма. Саме це питання призводить до кількох наслідків:
  • таке форматування є вручну. Інструкція означає надзвичайно схильні до помилок. Можна було просто забути подати заявку.
  • крім того, існує спокуса перенести процедури форматування в якусь централізовану функцію, ще більше плутати речі та псувати дані, які не збираються в базу даних.
• коли задіяно більше одного розробника, проблеми множать на десять.
• коли використовується конкатенація, не можна сказати потенційно небезпечний запит з першого погляду: всі вони потенційно небезпечні!

На відміну від цього безладу, підготовлені заяви справді є Святим Граалом:

• вона може бути виражена у вигляді одного простого правила, якого легко дотримуватися.
• це, по суті, недосяжний захід, означає, що розробник не може втручатися і, охоче чи не бажаючи, зіпсувати процес.
• захист від ін'єкцій насправді є лише побічним ефектом підготовлених тверджень, реальною метою яких є створення синтаксично правильного твердження. А синтаксично правильне твердження - 100% доказ ін'єкції. Однак нам потрібен правильний синтаксис, незважаючи на будь-яку можливість введення.
• якщо використовується навпаки, він захищає додаток незалежно від досвіду розробника. Скажімо, є річ, яка називається ін'єкцією другого порядку . І дуже сильна оманливість, яка звучить "з метою захисту, уникнути всього введення користувачем ". У поєднанні вони призводять до ін'єкцій, якщо розробник бере на себе вирішення, що потрібно захистити, а що ні.

(Думаючи далі, я виявив, що поточного набору заповнювачів недостатньо для реальних потреб життя, і їх потрібно розширити, як для складних структур даних, як масиви, так і навіть ключові слова або ідентифікатори SQL, які іноді доводиться додавати до запит також динамічно, але розробник залишається без озброєння для такого випадку і змушений повернутися до об'єднання рядків, але це питання іншого питання).

Цікаво, що суперечки цього питання спровоковані дуже суперечливим характером Stack Overflow. Ідея сайту полягає в тому, щоб використовувати конкретні запитання користувачів, які задають безпосередньо, щоб досягти мети - мати базу даних відповідей загального призначення, придатних для користувачів, які приходять із пошуку . Ідея сама по собі непогана , але вона провалюється у такій ситуації: коли користувач задає дуже вузьке запитання , особливо, щоб отримати аргумент у суперечці з колегою (або вирішити, чи варто рефакторировать код). У той час як більшість досвідчених учасників намагаються написати відповідь, пам’ятаючи про місію переповнення стека в цілому, завдяки чому їх відповідь хороша для якомога більшої кількості читачів, а не лише для ОП.

Давайте не будемо думати лише про міркування щодо безпеки чи безпеки типу.

Причина використання параметризованих запитів полягає в підвищенні продуктивності на рівні бази даних. З точки зору бази даних, параметризований запит - це один запит у буфері SQL (використовувати термінологію Oracle, хоча я думаю, що всі бази даних мають внутрішню схожу концепцію). Отже, база даних може вмістити в пам'яті певну кількість запитів, підготовлених та готових до виконання. Ці запити не потрібно аналізувати і вони будуть швидшими. Запити, які часто виконуються, зазвичай знаходяться в буфері і не потребують розбору кожного разу, коли вони використовуються.

БЕЗКОШТОВНО

Хтось не використовує параметризовані запити. У цьому випадку буфер постійно обробляється потоком майже однакових запитів, кожен з яких потрібно проаналізувати та запустити за допомогою двигуна бази даних, а продуктивність страждає всебічно, оскільки навіть часто запущені запити багато разів переробляються день. Я налаштував бази даних для життя, і це було одним з найбільших джерел фруктів, що звисають.

ЗАРАЗ

Щоб відповісти на ваше запитання, якщо ваш запит має невелику кількість чітких числових значень, ви, ймовірно, не спричинятимете проблем і може насправді покращити ефективність безмежно. Якщо, можливо, є сотні значень, і запит викликається багато, ви вплинете на продуктивність вашої системи, тому не робіть цього.

Так, ви можете збільшити буфер SQL, але це в кінцевому підсумку за рахунок інших більш критичних цілей використання пам'яті, таких як кешування індексів або даних. Морально, використовуйте параметризовані запити досить релігійно, щоб ви могли оптимізувати свою базу даних та використовувати більше пам’яті сервера для речей, що мають значення ...

Щоб додати трохи інформації до відповіді Maciek:

Інформацію про культуру стороннього додатка .NET легко змінити, зателефонувавши за допомогою відображення основної функції збірки:

using System;
using System.Globalization;
using System.Reflection;
using System.Threading;

namespace ConsoleApplication2
{
  class Program
  {
    static void Main(string[] args)
    {
      Assembly asm = Assembly.LoadFile(@"C:\BobbysApp.exe");
      MethodInfo mi = asm.GetType("Test").GetMethod("Main");
      mi.Invoke(null, null);
      Console.ReadLine();
    }

    static Program()
    {
      InstallBobbyTablesCulture();
    }

    static void InstallBobbyTablesCulture()
    {
      CultureInfo bobby = (CultureInfo)CultureInfo.InvariantCulture.Clone();
      bobby.DateTimeFormat.ShortDatePattern = @"yyyy-MM-dd'' OR ' '=''";
      bobby.DateTimeFormat.LongTimePattern = "";
      bobby.NumberFormat.NegativeSign = "1 OR 1=1 OR 1=";
      Thread.CurrentThread.CurrentCulture = bobby;
    }
  }
}

Це працює лише в тому випадку, якщо Основна функція BobbysApp є загальнодоступною. Якщо Main не є загальнодоступним, можливо, ви можете зателефонувати іншим публічним функціям.

На мою думку, якщо ви можете гарантувати, що параметр, з яким ви працюєте, ніколи не буде містити рядок, це безпечно, але я б не робив цього в будь-якому випадку. Також ви побачите невеликий спад продуктивності через те, що ви виконуєте конкатенацію. Питання, яке я б вам задав, це чому ви не хочете використовувати параметри?

Це нормально, але ніколи не безпечно .. і безпека завжди залежить від входів, наприклад, якщо об'єктом вводу є TextBox, зловмисники можуть зробити щось складне, оскільки текстовий блок може приймати рядок, тому вам доведеться поставити якусь перевірку / перетворення щоб запобігти неправильному введенню користувачами. Але справа в тому, що це не безпечно. Так просто.

Ні, ви не можете отримати атаку ін'єкцій SQL таким чином. Я написав стару статтю турецькою, де показано, як тут . Приклад статті в PHP та MySQL, але концепція працює однаково в C # і SQL Server.

В основному ви нападаєте наступним чином. Розглянемо, що у вас є сторінка, на якій відображається інформація відповідно до цілого значення id. Ви не параметризували це за значенням, як показано нижче.

http://localhost/sqlEnjeksiyon//instructors.aspx?id=24

Гаразд, я припускаю, що ви використовуєте MySQL, і я атакую ​​наступним чином.

http://localhost/sqlEnjeksiyon//instructors.aspx?id=ASCII((SELECT%20DATABASE()))

Зауважте, що тут введене значення не є рядком. Ми змінюємо значення char на int за допомогою функції ASCII. Ви можете зробити те ж саме в SQL Server, використовуючи "CAST (YourVarcharCol AS INT)".

Після цього я використовую функції довжини та підрядки, щоб дізнатися про назву вашої бази даних.

http://localhost/sqlEnjeksiyon//instructors.aspx?id=LEN((SELECT%20DATABASE()))

http://localhost/sqlEnjeksiyon//instructors.aspx?id=ASCII(SUBSTR(SELECT%20DATABASE(),1,1))

Потім, використовуючи ім'я бази даних, ви починаєте отримувати імена таблиць у базі даних.

http://localhost/sqlEnjeksiyon//instructors.aspx?id=ASCII(SUBSTR((SELECT table_name FROM INFORMATION_SCHEMA.TABLES LIMIT 1),1,1))

Звичайно, ви повинні автоматизувати цей процес, оскільки ви отримуєте лише ОДИН символ на запит. Але ви можете легко автоматизувати це. У моїй статті показаний один приклад у watir . Використання лише однієї сторінки та не параметризоване значення ідентифікатора. Я можу дізнатися кожну назву таблиці у вашій базі даних. Після цього я можу шукати важливі таблиці. Це займе час, але це можливо.

Ну ... одне впевнене: безпека НЕ ​​нормальна, коли ви об'єднуєте рядок (взятий користувачем) з вашою командною ланцюжком SQL. Не важливо, коли пункт де посилається на цілий чи будь-який тип; ін'єкції можуть статися.

У SQL Injection важливим є тип даних змінної, яка використовувалась для отримання значення від користувача.

Припустимо, у нас є ціле число в пункті «де» і:

1. користувацька змінна - це рядок. Тоді гаразд, його не дуже легко вводити (за допомогою UNION), але його дуже просто обійти, використовуючи «АБО 1 = 1» - подібні атаки ...

2. Якщо змінна користувача - ціле число. Потім ми знову можемо «перевірити» міцність системи, пройшовши незвичайні тести великої кількості на збої системи або навіть на прихований переповнення буфера (на остаточному рядку) ...;)

Можливо, параметри запитів або (ще краще - imo) для збережених процедур не є на 100% безпечними, але вони є найменш необхідним заходом (або елементарним, якщо ви бажаєте), щоб мінімізувати їх.